dope Opublikowano 16 Września 2011 Zgłoś Udostępnij Opublikowano 16 Września 2011 Tytuł może być mylący, ale tylko tyle znalazłem póki co. Hijackthis nie odpala się zarówno przez .exe jak i przez .com. Malwarebytes Anti-Malware znalazło nieznany wirus (PUM), który wyłącza opcje jak regedit,hijackthis itp, niestety program nie poradził sobie z usunięciem. CTRL+ALT+DEL nie uruchamia menadżera zadań, dawałem /uruchom/ gpedit.msc i ręczne włączenie menadżera zadań daje skutek jednorazowy, za drugim razem już się nie włącza. Zauważyłem również (już jakiś czas temu, ale nie wadziło dotychczas), że poprzed Widok/Pokaz ukryte pliki nie da się ustawić pokazywania ukrytych plików, jedynie przez rejestr i to również jednorazowo. Wklejam logi z OTL oraz ComboFixa (hijackthisa niestety nie udało mi się w zaden sposób włączyć): OTL: http://www.wklejto.pl/104978 http://www.wklejto.pl/104979 ComboFix: http://www.wklejto.pl/104980 Z góry wirtualne piwo za każdą pomoc! Odnośnik do komentarza
picasso Opublikowano 16 Września 2011 Zgłoś Udostępnij Opublikowano 16 Września 2011 Wklejam logi z OTL oraz ComboFixa (hijackthisa niestety nie udało mi się w zaden sposób włączyć) O logach: Czytasz zasady działu KLIK, by się dowiedzieć, że ComboFix to nie jest "narzędzie do logów", HijackThis jest tu zbanowany (nie nadaje się na dzień dzisiejszy do diagnostyki), a w skład obowiązkowych logów wchodzi GMER. ComboFix nie powinieneś uruchamiać na własną rękę, a powody są w opisie narzędzia: KLIK. Log z OTL robiony wg ustawień z innego forum. System nie przygotowany wcale do diagnostyki i uruchomienia ComboFix oraz GMER (KLIK), działa sterownik SPTD emulacji napędów wirtualnych: DRV - [2010-11-16 18:37:27 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) Hijackthis nie odpala się zarówno przez .exe jak i przez .com. (...) CTRL+ALT+DEL nie uruchamia menadżera zadań, dawałem /uruchom/ gpedit.msc i ręczne włączenie menadżera zadań daje skutek jednorazowy, za drugim razem już się nie włącza. 1. Przykro mi, ale jest tu paskudna infekcja wirus Sality, która niszczy wszystkie pliki wykonywalne na wszystkich dyskach. Infekcja ta jest bardzo ciężka i może być konieczny format (i nie wolno z zarażonego dysku skopiować ani jednego pliku z typu infekowanego przez Sality). Nie uruchamia się HijackThis, bo już jest wirusem / uszkodzony ..... Podobnie się dzieje z każdym innym programem. Ponadto, Sality kasuje z rejestru całkowicie Tryb awaryjny, blokuje menedżer zadań i edytor rejestru. Obecność Sality bez wątpienia potwierdzają te znaki w logach: - sterownik Sality natychmiast zrekonstruowany po usunięciu ComboFix (ComboFix tego nie uleczy, bo nie jest antywirusem leczącym pliki z kodu): --- Inne Usługi/Sterowniki w Pamięci ---.*NewlyCreated* - ABP470N5 DRV - File not found [Kernel | Unknown | Running] -- -- (abp470n5) - programy autoryzowane w zaporze przechodzą z dopiskiem "ipsec" (to są zainfekowane obiekty): [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]"C:\WINDOWS\system32\SNDVOL32.EXE" = C:\WINDOWS\system32\SNDVOL32.EXE:*:Enabled:ipsec -- (Microsoft Corporation)"C:\Program Files\DivX\DivX Update\DivXUpdate.exe" = C:\Program Files\DivX\DivX Update\DivXUpdate.exe:*:Enabled:ipsec -- ()"C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\ogpgiu.exe" = C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\ogpgiu.exe:*:Enabled:ipsec -- ()"C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\winljjxmb.exe" = C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\winljjxmb.exe:*:Enabled:ipsec"C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\winwsfii.exe" = C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\winwsfii.exe:*:Enabled:ipsec - polisy na menedżer i rejestr: O7 - HKU\S-1-5-21-1614895754-1547161642-682003330-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1O7 - HKU\S-1-5-21-1614895754-1547161642-682003330-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 2. Dodatkowo są usługi rootkit, ale to bułka z masłem w porównaniu z powyższym .... 3. I duperelki: naruszony łańcuch Winsock, resztki śmieci adware ..... Przechodząc do próby leczenia: 1. Pobierz SalityKiller. Wykonaj nim skan do skutku (powtarzany wielokrotnie, dopóki nie uzyskasz zwrotu zero zainfekowanych). 2. Pobierz Sality_RegKeys.zip, rozpakuj i ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Gdy ukończysz etap (punkty 1+2) z SalityKiller (i tylko pod tym warunkiem) przejdź do usuwania obiektów rootkit. Otwórz Notatnik i wklej w nim: File:: c:\windows\system32\sngmf.dll Driver:: gdalbmw NetSvc:: iceifi gdalbmw Registry:: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "3179:TCP"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\\WINDOWS\\system32\\SNDVOL32.EXE"=- "C:\\Program Files\\DivX\\DivX Update\\DivXUpdate.exe"=- "C:\\DOCUME~1\\ADMINI~1\\USTAWI~1\\Temp\\ogpgiu.exe"=- "C:\\DOCUME~1\\ADMINI~1\\USTAWI~1\\Temp\\winljjxmb.exe"=- "C:\\DOCUME~1\\ADMINI~1\\USTAWI~1\\Temp\\winwsfii.exe"=- Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa. 4. Zresetuj łańcuch Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset 5. Prezentujesz logi: raport uzyskany z ComboFix w punkcie 3 oraz nowy log z OTL i GMER (przypominam: przed jego uruchomieniem musisz usunąć sterownik SPTD). Podsumuj też pracę SalityKiller, czy coś usuwał. . Odnośnik do komentarza
dope Opublikowano 16 Września 2011 Autor Zgłoś Udostępnij Opublikowano 16 Września 2011 SalityKiller leczył mase plików, powtarzałem czynność z 30 razy, na końcu wykrywał i leczył Windows Messengera, ale po 30 próbie już sie poddałem. Postąpiłem według podanych przez Ciebie kroków (bardzo klarownie wszystko wyjaśnione, za co niezmiernie dziękuje). A, zapomniałbym - sorry, że za pierwszym razem pominąłem skanowanie GMER-em. Czytałem odpowiednie tematy, ale kompletnie wyleciało mi z głowy. Wklejam logi po wykonanych czynnościach: ComboFix: http://www.wklejto.pl/104997 OTL: http://www.wklejto.pl/104998 http://www.wklejto.pl/104999 GMER: http://www.wklejto.pl/105000 Jeszcze raz serdeczne dzięki za profesjonalną pomoc Odnośnik do komentarza
picasso Opublikowano 17 Września 2011 Zgłoś Udostępnij Opublikowano 17 Września 2011 (edytowane) Log z GMER zrobiony w nieprawidłowych warunkach, nie usunąłeś sterownika SPTD. DRV - [2010-11-16 18:37:27 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) Log z OTL także: Ty wklejasz do skanowania w oknie obcą (przestarzałą) matrycę. Tu w opisie OTL jest powiedziane, że nic się tam nie wkleja przy skanowaniu (a wykonywanie skryptów to już całkiem inna historia). SalityKiller leczył mase plików, powtarzałem czynność z 30 razy, na końcu wykrywał i leczył Windows Messengera, ale po 30 próbie już sie poddałem Czy mam rozumieć, że chodzi tu o określony plik, który jest wykrywany w kółko, czy może o większą grupę plików? Przeklej z okna SalityKiller ten odczyt. Natomiast co do logów, to tak jakby nic czynnego tu już nie było (zniknął sterownik Sality i usługi ukryte), widzę do korekty jedynie drobne śmieci adware. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultenginename: "Facemoods Search" FF - prefs.js..browser.search.defaultthis.engineName: "gladiatus Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1126216&SearchSource=3&q={searchTerms}" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=2&q=" [2011-04-23 18:44:09 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ke276qzh.default\extensions\vshare@toolbar [2011-06-20 00:04:20 | 000,000,921 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ke276qzh.default\searchplugins\conduit.xml [2010-11-16 18:37:28 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ke276qzh.default\searchplugins\daemon-search.xml O3: - HKCU\..\Toolbar\WebBrowser - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. [2011-09-09 07:45:34 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\OpenCandy :Files netsh firewall reset /C :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przez Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. Zaprezentuj ów log z wynikami usuwania OTL oraz log z AD-Remover z opcji Scan. . Edytowane 30 Października 2011 przez picasso 30.10.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi